Dark Angels

Zscaler ThreatLabzのレポートによると、フォーチュン50の企業が、ランサムウェア集団「Dark Angels」に過去最高額の7500万ドルの身代金を支払った。

「2024年初頭、ThreatLabzはDark Angelsに7,500万ドルを支払った被害者を発見しました。これは、公に知られているどの金額よりも高額であり、彼らの主要な手口(以下に説明します)を採用することで、このような成功を再現しようとする他の攻撃者の関心を集めるに違いありません」と、2024 Zscaler Ransomware Reportは述べています。

この記録的な支払いは、暗号情報会社Chainalysisによってさらに確認された。

Chainalysis tweet

これまで知られている最大の身代金支払いは、保険大手のCNAが Evil Corpのランサムウェア攻撃を受けた後に支払った4000万ドルである。

Zscaler社は、7500万ドルの身代金を支払った企業については明らかにしていないが、フォーチュン50に入る企業であり、攻撃は2024年初頭に発生したと述べている。

2024年2月にサイバー攻撃を受けたフォーチュン50社の1社は、ランキング10位の製薬大手Cencoraである。この攻撃の責任を主張するランサムウェア集団はおらず、身代金が支払われた可能性を示している。

Cencora社に連絡し、Dark Angels社に身代金を支払ったかどうか尋ねたが、まだ返答はない。

Dark Angelsとは

Dark Angelsは、2022年5月に世界中の企業を標的に開始されたランサムウェアである。

人間が操作するほとんどのランサムウェアギャングと同様に、Dark Angelsのオペレーターは企業ネットワークに侵入し、最終的に管理者アクセス権を獲得するまで横方向に移動します。この間、彼らは侵害されたサーバーからデータも盗み出し、後に身代金要求の際の追加手段として利用されます。

Windowsドメイン・コントローラにアクセスすると、脅威者はランサムウェアを展開し、ネットワーク上のすべてのデバイスを暗号化します。

脅威者は、Babukランサムウェアの流出したソースコードに基づき、WindowsとVMware ESXiの暗号化ツールを使用していました。

しかし、時間の経過とともに、彼らは2021年以降Ragnar Lockerが使用しているものと同じLinux暗号化ツールに切り替えた。Ragnar Lockerは2023年に法執行機関によって妨害された。

このLinux暗号化ツールは、Johnson Controls社に対するDark Angelsの攻撃で使用され、同社のVMware ESXiサーバーを暗号化した。

この攻撃でDark Angelsは27TBの企業データを盗んだと主張し、5100万ドルの身代金の支払いを要求した。

Dark Angels ransom note
Dark Angels の身代金要求書
ソースは こちら:

また、この脅威アクターは「Dunghill Leaks」という名前のデータ漏えいサイトも運営しており、身代金を支払わなければデータを漏えいすると脅して被害者を恐喝しています。

Dark Angel's 'Dunghill' Leaks data leak site
Dark Angel’s ‘Dunghill’ Leaks データ漏えいサイト
出典:Dark Angel‘s ‘Dunghill’ Leaks

Zscaler ThreatLabzによると、Dark Angelsは「Big Game Hunting」戦略を利用しており、一度に多くの企業を標的にするのではなく、少数の価値の高い企業のみを標的にし、身代金の支払いは少ないが、巨額の支払いを期待しているという。

Zscaler ThreatLabzの研究者は、「Dark Angelsグループは、非常にターゲットを絞ったアプローチを採用しており、通常は一度に1つの大企業を攻撃する」と説明している。

「これは、ほとんどのランサムウェアグループが被害者を無差別にターゲットにし、攻撃のほとんどを初期アクセスブローカーや侵入テストチームのアフィリエイトネットワークに委託しているのとは対照的です。

Chainalysisによると、Big Game Hunting戦術は、ここ数年、数多くのランサムウェアギャングによって利用される支配的な傾向となっている。